Кибер Авангард
Инфраструктура 11 мин чтения

7 ошибок при построении корпоративной сети, которые дорого обходятся бизнесу

80% проблем корпоративной сети закладываются в момент её проектирования или первого расширения. Когда офис рос с 30 до 150 человек, никто не пересмотрел архитектуру — просто докупили коммутаторы и роутеры. Через год начались случайные сбои, никто не понимает причины, инциденты повторяются. Ниже — семь самых частых ошибок, которые мы видим при первичном аудите сетей среднего бизнеса, с расчётом стоимости каждой ошибки и стоимости её предотвращения.

В отличие от ИТ-десятилетней давности, сегодня офисная сеть несёт критическую нагрузку: телефония, видеоконференции, облачные приложения, удалённые рабочие места. Старые подходы «лишь бы работало» приводят к скрытым потерям, которые становятся видимыми только при крупном инциденте. Разберём по очереди.

Где закладывается 80% будущих проблем

Аудит обычно показывает: проблемы не одна-две, а целый набор, накопившийся за 3–5 лет. Сеть строилась поэтапно разными людьми, документация не велась, оборудование выбиралось по принципу «что было в наличии». В какой-то момент общий объём «технического долга» превышает критическую массу — и любое мелкое изменение начинает вызывать каскад непредсказуемых эффектов.

Семь ошибок ниже встречаются в 70–90% сетей среднего бизнеса, которые не обслуживались системно.

Ошибка 1. Нет резервного канала

Один провайдер — одна точка отказа. Падает он — падает весь бизнес. По статистике крупных операторов Москвы за 2024–2025 годы средний клиент сталкивается с 2–4 сбоями длительностью более 30 минут в год. Из них 1–2 — длительные (от 2 часов).

Стоимость резервного канала у второго провайдера для офиса — 5 000–15 000 ₽/мес (LTE-резерв) или 15 000–30 000 ₽/мес (полноценный второй оптический ввод). Стоимость одного дня простоя для компании 100 человек — от 470 000 ₽ только на ФОТ (расчёт см. в статье «NOC 24/7 для бизнеса»). Окупаемость резерва — один-два инцидента за всю его жизнь.

Резервный канал должен быть не «у нас есть мобильный роутер на всякий случай», а настроенное автоматическое переключение на маршрутизаторе с BGP или политическим роутингом. Иначе при инциденте в 2 часа ночи никто не успеет ничего переключить.

Ошибка 2. Нет сетевой документации

Схема сети существует только в голове специалиста, который её строил. Когда он уходит, забирает с собой:

  • топологию сети с пометкой, какой коммутатор где стоит и куда подключён;
  • VLAN-план с разбивкой по отделам и сервисам;
  • IP-адресацию с резервированием и DHCP-зонами;
  • конфигурации устройств (часто их нет даже в бэкапе);
  • пароли доступа к оборудованию;
  • историю инцидентов и их причины.

Новый инженер тратит 2–4 недели на восстановление этой картины. Каждый инцидент в этот период решается на ощупь и занимает в 3–5 раз дольше нормы. Это прямой ущерб бизнесу, который никто не считает в моменте.

Документация — это операционный актив, а не бюрократия. Минимальный набор: схема L2/L3, журнал изменений, перечень устройств с серийниками и местоположением, конфигурации в системе контроля версий, политика доступа.

Ошибка 3. SOHO-оборудование в продакшене

Бытовой роутер за 8 000 ₽ в качестве шлюза офиса — экономия на спичках. Такое оборудование не рассчитано на:

  • постоянную нагрузку 50+ одновременных пользователей;
  • режим 24/7 без перезагрузки месяцами;
  • продвинутый QoS для голосового трафика;
  • VLAN-сегментацию;
  • работу в стеке (если устройство одно — оно же единая точка отказа).

SOHO-оборудование греется, теряет соединения под нагрузкой, перезагружается по неизвестным причинам, не получает обновлений безопасности. Каждый перезапуск — простой 1–3 минуты, и таких перезапусков может быть 20–50 в месяц.

Разница в стоимости между бытовым и корпоративным оборудованием для офиса 100 человек — 50 000–150 000 ₽ единовременно. Разница в надёжности — принципиальная: бизнес-класс рассчитан на годы непрерывной работы и поддерживает технологии, без которых нормальная корпоративная сеть невозможна.

Ошибка 4. Отсутствие мониторинга

Если о проблеме узнают, когда позвонил первый пользователь — инфраструктура работает «вслепую». Каждый инцидент начинается с фазы диагностики: что сломалось, где, когда. Эта фаза занимает от 30 минут до нескольких часов и наполовину состоит из вопросов «а оно вообще работало вчера?».

Базовый мониторинг (Zabbix или аналог) настраивается за 1–2 рабочих дня и сразу даёт:

  • видимость состояния всех ключевых элементов в реальном времени;
  • историю метрик, по которой можно понять, когда началась деградация;
  • автоматические оповещения при отклонениях;
  • отчёты по доступности за период.

Без мониторинга вы не знаете SLA своей сети — у вас нет данных, чтобы его измерить. С мониторингом эти данные появляются автоматически.

Ошибка 5. Плоская сеть без сегментации

Все устройства в одном VLAN — удобно при настройке и катастрофично при инциденте. Заражённый компьютер бухгалтерии получает прямой сетевой доступ к серверам. Гостевой Wi-Fi — к корпоративным ресурсам. Принтеры с дефолтными паролями стоят рядом с финансовыми системами.

Сегментация сети — базовая мера информационной безопасности. Минимально:

  • отдельный VLAN для серверов;
  • отдельный для рабочих мест;
  • отдельный для VoIP;
  • отдельный для гостевого Wi-Fi с изоляцией;
  • отдельный для сетевой инфраструктуры (управление коммутаторами и точками доступа).

Между сегментами — межсетевой экран с правилами «разрешено только то, что нужно по бизнесу». Это позволяет локализовать инцидент в одном сегменте и не дать ему распространиться.

Ошибка 6. Нет политики управления доступом

Типичная картина при аудите:

  • активные учётные записи бывших сотрудников (иногда — годами);
  • общий пароль на корпоративный Wi-Fi, который не менялся 2–3 года;
  • административный доступ к оборудованию у всех сотрудников IT без разграничения;
  • нет журналирования действий администраторов;
  • двухфакторная аутентификация не включена даже для критических систем.

Каждый из этих пунктов — потенциальный вектор атаки или утечки. Стоимость инцидента с компрометацией доступа — от прямых финансовых потерь до приостановки деятельности по требованию регулятора (если нарушен 152-ФЗ).

Политика управления доступом включает: регламент создания и удаления учётных записей, обязательную смену паролей по событию (увольнение, инцидент), ролевой доступ по принципу минимума прав, журналирование, регулярный аудит активных учёток.

Ошибка 7. Обслуживание «пока не сломается»

Реактивная модель обслуживания — самая дорогая в долгосрочной перспективе. Без планового обслуживания накапливаются:

  • незакрытые уязвимости в прошивках устройств;
  • незаметная нагрузка на оборудование, приближающаяся к пределу;
  • устаревшие сертификаты и истекающие лицензии;
  • отказавшие, но ещё работающие компоненты резервированных систем (один из двух блоков питания, один из дисков RAID);
  • ошибки в логах, на которые никто не смотрит.

Сбой происходит в самый неподходящий момент, потому что он по определению происходит, когда деградация перешла критическую черту. Плановое обслуживание (квартальные регламентные работы, ежемесячный анализ метрик, ежегодный аудит) стоит в 5–10 раз дешевле экстренного восстановления и устраняет причины до того, как они станут проблемами.

Таблица: ошибка → стоимость инцидента → стоимость профилактики

Ошибка Стоимость одного инцидента Стоимость профилактики
Нет резервного канала от 470 000 ₽ за день простоя 5 000–30 000 ₽/мес
Нет документации +200% к времени восстановления 80–120 ч инженера разово
SOHO-оборудование 20–50 микро-простоев в месяц 50 000–150 000 ₽ единовременно
Нет мониторинга +1–3 ч диагностики на инцидент 30 000–60 000 ₽ внедрение
Плоская сеть риск утечки и распространения вредоносного ПО 40–80 ч проектирования
Нет политики доступа риск штрафа РКН до 18 млн ₽ за утечку ПДн 60–100 ч на регламент и внедрение
Реактивное обслуживание +200–500% стоимости устранения 20 000–60 000 ₽/мес плановое обслуживание

Чек-лист «Самопроверка корпоративной сети» (15 пунктов)

Прогоните по своей инфраструктуре. Каждое «нет» — повод для разговора с подрядчиком или внутренним специалистом.

  1. У офиса есть второй интернет-канал от другого провайдера.
  2. Переключение между каналами автоматическое (BGP или политический роутинг).
  3. У ИТ-команды есть актуальная схема сети не старше 6 месяцев.
  4. Конфигурации сетевых устройств хранятся в системе контроля версий.
  5. На всех ключевых устройствах настроен SNMP-мониторинг.
  6. Алерты о сбоях приходят 24/7 по нескольким каналам (мессенджер, SMS).
  7. В сети не используется бытовое (SOHO) оборудование на критических участках.
  8. Сеть разделена минимум на 4 VLAN (серверы, пользователи, VoIP, гости).
  9. Между VLAN стоит межсетевой экран с правилами фильтрации.
  10. Гостевой Wi-Fi изолирован от корпоративной сети.
  11. Учётные записи бывших сотрудников блокируются в день увольнения.
  12. У администраторов разграничены права по ролям.
  13. Двухфакторная аутентификация включена на критических системах.
  14. Прошивки сетевого оборудования обновлялись в последние 12 месяцев.
  15. Резервное копирование конфигураций оборудования делается еженедельно автоматически.

13–15 «да» — здоровая сеть. 9–12 — есть зоны для улучшения. Менее 9 — рекомендуем плановый аудит.

FAQ

Стоит ли менять оборудование сразу или можно постепенно? Зависит от состояния. Если SOHO-устройства стоят на критических участках — менять в первую очередь. Если бизнес-класс, но устаревший — план замены на 2–3 года по бюджету. Главное — план, а не стихийная закупка.

Что делать, если документации никогда не было? Заказать аудит и инвентаризацию. Опытная команда восстанавливает схему сети за 5–10 рабочих дней даже без исходных данных. Дальше — фиксируется регламент поддержания актуальности.

Можно ли использовать один канал, но от хорошего провайдера? Можно, если простой 4–8 часов в год для бизнеса некритичен. У любого провайдера есть аварии. Резервный канал страхует от этого риска.

Сколько стоит правильно построить сеть с нуля для офиса 100 человек? Стоимость зависит от требований. Бюджетный вариант с грамотной архитектурой — 1,2–1,8 млн ₽ на оборудование плюс 200–400 тыс. ₽ на проектирование и внедрение. Эконом-вариант на SOHO даст экономию 60–70%, но потеряет в надёжности.

Что важнее — обновлять оборудование или обновлять прошивки? Прошивки. Большинство уязвимостей закрываются обновлениями текущих устройств. Замена оборудования нужна, когда производитель прекращает поддержку модели или когда характеристики уже не соответствуют нагрузке.

Можно ли построить сегментацию сети без замены оборудования? Если коммутаторы поддерживают VLAN — да. Большинство управляемых коммутаторов умеют сегментацию из коробки. Проблема обычно не в железе, а в отсутствии политики и регламента.

Часто ли встречаются все 7 ошибок одновременно? В сетях, которые не обслуживались системно 3+ года — да, в 60–70% случаев. По одной ошибке встречается практически у всех. Это не повод стыдиться — это повод запланировать аудит.

Что в итоге

Большинство этих ошибок обнаруживаются при первом же техническом аудите. Мы проводим его без оплаты — выезд инженера, инвентаризация, проверка ключевых регламентов, письменный отчёт с конкретными рекомендациями и приоритизацией. Аудит ни к чему не обязывает.

Калькулятор стоимости · Связаться с нами

/ Готовы посчитать?

Получите расчёт IT-аутсорсинга для вашей инфраструктуры

Бесплатный аудит, письменный отчёт и смета — за 1 рабочий день. Аудит ни к чему не обязывает.

Калькулятор стоимости Связаться с нами